Verwenden von Apache/2.2.15 auf RHEL6 mit mod_evasive-Konfiguration:
DOSHashTableSize 3097
DOSPageCount 14
DOSPageInterval 2
DOSSiteCount 70
DOSSiteInterval 1
DOSBlockingPeriod 60
Leider konnte dieser Angriff nicht blockiert werden, da er nur von einer IP-Adresse kam:
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:53 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
207.xxx.xxx.xxx - - [14/Jun/2015:06:06:54 +0400] "HEAD / HTTP/1.1" 200 - "-" "some fake user agent"
Mod_evasive funktioniert, es blockiert in anderen Fällen einige IPs. Funktioniert es nicht für HEAD-Anfragen?
EDIT: Mein Apache läuft im Prefork-Modus. Soweit ich gelesen habe, hat mod_evasive damit Probleme.
Antwort1
Ändern Sie die Variable auf einen niedrigeren Wert, 14 ist wirklich hoch.
DOSPageCount 3
Da der Angriff vom selben Ort kommt, können Sie die IP-Adresse sperren.
sudo iptables -t raw -I PREROUTING -s 207.x.x.x/32 -j DROP
Oder Sie installieren mod_security, richten es ein und fügen der Datei bad_robots.data „einen gefälschten Benutzeragenten“ hinzu. Daraufhin wird eine 401-Fehlermeldung ausgegeben.
NOTIZ
DDoS-Angriffe sind darauf ausgelegt, sowohl Bandbreite als auch Ressourcen zu verbrauchen. Sie können eine IP-Adresse sperren, sie mit mod_evasive aussperren oder ihre Anfragen mit 401 ablehnen. KEINE DIESER METHODEN STOPPT EINEN DDoS-Angriff. DDoS wird weiterhin Ihre gesamte Bandbreite verbrauchen und Ihr Gerät trotzdem offline halten. Die beste Methode ist, Ihren ISP zu kontaktieren und ihn zu bitten, die anstößigen IPs zu sperren oder einen DDoS-Abwehrdienst wie Cloudflare zu kontaktieren. Nichts anderes wird den DDoS-Angriff stoppen.
Wenn Sie ständigem DDoS-Angriff ausgesetzt sind, nutzen Sie einen DDoS-Minderungsdienst.KEINE der zuvor genannten Methoden wird einen DDoS-Angriff stoppen.